Для того чтобы описать технологию защиты информации в определенной информационной системе, надо построить так называемую Политику информационной безопасности либо просто Политику безопасности, которая рассматривает информационную систему.

Политика безопасности — это собрание всех документов с правилами, процедурами, практическими приемами или руководящими принципами в области информационной защищенности.

Политика надежности информационно-телекоммуникационных технологий — это директивы, правила, устоявшаяся практика, определяющие как управлять в границах организации, ее информационно-телекоммуникационной технологией. Оформляется политика информационной безопасности в виде требовательных документов на информационную систему. Как правило, документы подразделяются по уровням детализации процесса защиты.  Документы верхнего уровня политики отображают позицию организации к действиям в области защиты информации, и ее желание соответствовать международным и государственным требованиям, а также стандартам в этой области.  Документы среднего уровня касаются определенных аспектов безопасности информации. Политика безопасности информации нижнего уровня заключается в регламентировании работ, инструкции по использованию определенных сервисов безопасности информации и руководстве по администрированию.